Лекция Облачные технологии
Безопасность и хранилище Azure
Download 3.58 Mb. Pdf ko'rish
|
- Bu sahifa navigatsiya:
- Обеспечение защиты учетной записи хранения
|
Безопасность и хранилище Azure
Хранилище Azure поддерживает ряд функций обеспечения безопасности, которые помогают разработчикам создавать защищенные приложения [6]. Чтобы обезопасить свою учетную запись хранения, можно воспользоваться управлением доступом на основе ролей (RBAC) и Microsoft Azure Active Directory (Azure AD). Доступно несколько механизмов защиты данных при передаче: шифрование на стороне клиента, HTTPS и SMB 3.0. Если включить шифрование службы хранилища, то служба хранилища Azure будет шифровать данные, которые помещаются в учетную запись хранения. Шифрование службы хранилища теперь можно включить в том числе для дисков ОС и дисков с данными виртуальных машин. Для защиты доступа к объектам плоскости данных (data plane; например, к BLOB-объектам) можно воспользоваться подписанным URL-адресом (SAS). Рассмотрим каждую из этих возможностей отдельно. 83 Обеспечение защиты учетной записи хранения В первую очередь необходимо обеспечить безопасность учетной записи хранения [7]. Ключи учетной записи хранения. Каждой учетной записи хранения соответствует два ключа проверки подлинности — основной и вторичный. Любой из них позволяет выполнять все допустимые действия. Ключа создается два, чтобы между ними можно было переключаться для повышения безопасности. Крайне важно обеспечить надежное хранение этих ключей. Наличие любого из них и знание имени учетной записи открывает полный доступ ко всем данным учетной записи хранения. Предположим, вы используете ключ 1 учетной записи хранения в нескольких приложениях. Вы можете запустить повторную генерацию ключа 2, изменить все приложения так, чтобы в них использовался ключ 2, и развернуть их в рабочей среде. Если после этого вы запустите повторную генерацию ключа 1, то все пользователи и приложения, которые используют его прежнюю версию, лишатся доступа. Рассмотрим ситуацию, в которой эта возможность оказывается полезной. Допустим, ваш отдел использует обозреватель хранилища, который сохраняет ключи учетной записи. В один день один из сотрудников уходит из отдела или вообще из компании. Вам требуется лишить его доступа к данным. Такая необходимость часто возникает неожиданно, поэтому следует заранее подготовить процедуру, которая позволит понять, какие именно приложения нужно изменить, а затем попрактиковаться в проведении ротации ключей, чтобы это не вызвало сложностей, когда такая необходимость действительно возникнет. Download 3.58 Mb. Do'stlaringiz bilan baham: 
|